рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

Оценка безопасности ИС

Оценка безопасности ИС - раздел Менеджмент, ОПОРНЫЙ КОНСПЕКТ ЛЕКЦИЙ ПО ДИСЦИПЛИНЕ: Автоматизация процессов управления человеческими ресурсами Для Предоставления Пользователю Возможности Оценки Вводится Некоторая Система...

Для предоставления пользователю возможности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует определенная совокупность обязательных функций. Степень реализации выбранных критериев показывает текущее состояние безопасности: Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности.

Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным перекрытием угроз и каналов утечки информации. В противном случае система безопасности нуждается в дополнительных мерах зашиты.

Вопросами стандартизации и разработки нормативных требований на защиту информации в США занимается Национальный центр компьютерной безопасности и министерства обороны США (NCSC - National Computer Security Center). Центр еще в 1983 г. издал критерии оценки безопасности компьютерных систем (TCSEC Trusted Computer System Evaluation Criteria). Этот документ обычно называется Оранжевой книгой.

В Оранжевой книге приводятся следующие уровни безопасности систем:

• высший класс, обозначается как А;

• промежуточный класс — В;

• низкий уровень безопасности — С;

• класс систем, не прошедших испытания — Д.

Класс Д присваивается тем системам, которые не прошли испытания на более высокий уровень защищенности, а также системам, использующим для защиты лишь отдельные мероприятия или функции (подсистемы безопасности).

Класс С разбивается на два подкласса (по возрастающей требований к защите). Так как класс С1 должен обеспечивать избирательную защиту, средства безопасности систем класса С1 должны удовлетворять требованиям избирательного управления доступом, обеспечивая разделение пользователей и данных. Для каждого объекта и субъекта задается перечень допустимых типов доступа (чтение, запись, печать и т.д.) субъекта к объекту. В системах этого класса обязательны идентификация (присвоение каждому субъекту персонального идентификатора) и аутентификация (установление подлинности) субъекта доступа, а также поддержка со стороны оборудования.

Класс С2 должен обеспечивать управляемый доступ, а также ряд дополнительных требований. В частности, в системах этого класса обязательно ведение системного журнала, в котором должны отмечаться события, связанные с безопасностью системы. Сам журнал должен быть защищен от доступа любых пользователей, за исключением сотрудников безопасности.

В системах класса В, содержащего три подкласса, должен быть полностью контролируемый доступ. Должен выполняться ряд требований, главным из которых является наличие хорошо разработанной и документированной формальной модели политики безопасности, требующей действия избирательного и полномочного управления доступом ко всем объектам системы. Вводится требование управления информационными потоками в соответствии с политикой безопасности.

Политика безопасности - представляет собой набор законов, правил и практического опыта, на основе которых строятся управление, защита и распределение конфиденциальной информации.

Анализ классов безопасности показывает, что, чем он выше, тем более жесткие требования предъявляются к системе.

Отработаны также основные требования к проектам документации.

В части стандартизации аппаратных средств ИС и телекоммуникационных сетей в США разработаны правила стандарта TEMPEST (Transient Electromagnetic Pulse Emanations Standard). Этот стандарт предусматривает применение специальных мер зашиты аппаратуры от паразитных излучений электромагнитной энергии, перехват которой может привести к овладению охраняемыми сведениями. Стандарт TEMPEST обеспечивает радиус контролируемой зоны перехвата порядка одного метра.

Это достигается специальными системотехническими, конструктивными и программно-аппаратными решениями.

Руководящие документы (в некоторой степени, аналогичные разработанным NCSC) в области зашиты информации разработаны Государственной технической комиссией при Президенте Российской Федерации1. Требования этих документов обязательны для исполнения только в государственном секторе либо коммерческими организациями, которые обрабатывают информацию, содержащую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер.

В одном из документов, носящим название «Автоматизированные системы. Зашита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации», приведена классификация автоматизированных систем на классы по условиям их функционирования в целях разработки применения обоснованных мер по достижению требуемого уровня безопасности. Устанавливаются девять классов защищённости, каждым из которых характеризуется определенной минимальной совокупностью требований по защите. Защитные мероприятия охватывают подсистемы

• управления доступом;

• регистрации и учета (веление журналов и статистики);

• криптографическую (использования различных механизмов шифрования);

• обеспечения целостности;

• законодательных мер;

• физических мер.

Достаточно важно использование документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности». В нем определены семь классов защищенности СВТ от несанкционированного доступа к информации. Самый низкий класс седьмой, самый высокий - первый. Каждый класс наследует требования защищенности oт предыдущего.

Класс защищенности ИС - определенная совокупность требований по защите средств ИС от несанкционированного доступа к информации.

– Конец работы –

Эта тема принадлежит разделу:

ОПОРНЫЙ КОНСПЕКТ ЛЕКЦИЙ ПО ДИСЦИПЛИНЕ: Автоматизация процессов управления человеческими ресурсами

федеральное государственное бюджетное образовательное учреждение высшего профессионального образования... Санкт Петербургский государственный Политехнический университет... ФГБОУ ВПО СПбГПУ...

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Оценка безопасности ИС

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Задачи управления персоналом в бизнес-процессе предприятия
Автоматизация процессов управления персоналом началась с организации информационно-поисковых систем, основная задача которой учёт персональных сведений о работниках и составление отчётности.

Понятие информационных систем и информационных технологий в управлении
  Рыночная экономика приводит к возрастанию объема и усложнению задач, решаемых в области организации производства, процессов планирования и анализа, оперативное управление которыми н

Особенности информационной технологии управления персоналом в организациях различного типа
Выбор стратегии организации автоматизированной информационной технологии определяется следующими факторами: • областью функционирования предприятия или организации; • типом предпр

Информационные связи в корпоративных системах
Корпоративная вычислительная сеть - это интегрированная, многомашинная, распределенная система, состоящая из взаимодействующих локальных вычислительных сетей структур

Информационные технологии как инструмент формирования управленческих решений
Основными функциональными задачами организации являются: § подготовка сводных аналитических отчетов для поддержки принятия долговременных решений и обеспечение оперативной проверки внешних

Основы создания ИС и ИТ в управлении персоналом организации
Создание ИС и ИТ представляет собой сложный процесс проектирования. Целью проектирования являются подготовка проектных документов и внедрение человеко-машинной системы управления организацией. В пр

Система поддержки принятия решений и инженерное проектирование в управлении
  Начало проектированию управленческих процессов было положено за рубежом в 1980-е годы и получило название «бизнес-инжиниринг». Под бизнес-инжинирингом понимается

Методы и модели формирования управленческих решений
  Процессы принятия решений лежат в основе любой целенаправленной деятельности в экономике, политике, технике, социальной сфере. Конечный продукт работы любого менеджера - эт

Стадии, методы и организация создания ИС и ИТ
Поиск рациональных путей проектирования идет по следующим направлениям: § разработка типовых проектных решений, зафиксированных в пакетах прикладных программ (ППП) для решения экономически

Роль пользователя в создании ИС (ИТ) и постановке задач управления
  Формулирование потребительских свойств ИС - одна из обязанностей заказчика. Рассмотрим важнейшие из них. 1. Функциональная полнота — свойство, обозначающее наиболее

Понятие информационного обеспечения, его структура
Управление следует рассматривать как информационный процесс, происходящий между органами управления, управляемым объектом и внешней средой. Под информацией понимает

Внемашинное информационное обеспечение
  Система показателей служит основой для построения элементов внемашинного и внутримашинного информационного обеспечения и представляет собой совокупность взаимосвязанных социа

Унифицированная система документации и организация документопотока
Основным носителем информации при этом является документ - материальный носитель, содержащий информацию в зафиксированном виде, оформленный в установленном порядке и имеющий в соответствии с действ

Банк данных, его состав, модели баз данных
Принцип интеграции предполагает организацию хранения информации в виде банка данных (БнД), где все данные собраны в едином интегрированном хранилище и к информации как важнейшему ресурсу обеспечен

Хранилища данных и базы знаний — перспектива развития ИО в управлении
Хранилище данных (data warehouse) - это автоматизированная информационно-технологическая система, которая собирает данные из существующих баз и внешних источников, формирует, хранит и экс

Информационное обеспечение АРМ менеджера
  Автоматизацию бизнес процессов целесообразно строить на базе новой информационной технологии, основывающейся на интерактивном взаимодействии пользователей с ПК в условиях распределе

Программные средства ИС управления
Программное обеспечение (ПО) — это совокупность программ, позволяющая организовать решение задач на компьютере. ПО и архитектура машины образуют комплекс взаимосвязанных и разнообразных функ

Программное обеспечение АРМ
В настоящее время распространены такие формы ИС в управлении предприятиями: • индивидуальное использование компьютеров; • автоматизированные рабочие места (АРМ); • локаль

Информационные технологии и процедуры обработки информации
Спрос на информацию и информационные услуги в сфере экономики и управления обеспечивает развитие, распространение и всё более эффективное использование информационных технологий (ИТ). Стра

Автоматизированные технологии формирования управленческих решений
Автоматизация ряда процедур формирования решений с помощью СППР позволила возложить на компьютер следующие функции: • генерацию возможных вариантов решений; • оценку вариантов, вы

Виды угроз безопасности ИС и ИТ
Информационная безопасность не только становится обязательной, она еще и одна из характеристик ИС. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безо

Виды умышленных угроз безопасности информации
Борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых -- порча информации в Б

Методы и средства зашиты информации
Методы и средства обеспечения безопасности информации в ИС схематически представлены на рис. 6.1.   1.

Криптографические методы зашиты информации
Готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, т. е. в закрытый текст или графическое изображение докум

Методы и средства построения систем информационной безопасности. Их структура
Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах: 1. Системный подход к построению системы защиты, означающий оптимально

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги